使用 VLAN 保護您的智慧家庭並保護家庭隱私

技術
By 梅爾萬·雷德哈

無論以何種標準衡量,智慧家居一旦全面投入運營,都是一項了不起的成就。一旦您建立了網路並添加了一些設備,您就擁有了一個非常有吸引力的解決方案。但要將其提升到一個新的水平,您可能需要添加更多設備,而您啟動的智慧家庭設備越多,您的家庭網路就會變得越擁擠。此外,也存在他人未經授權存取您的智慧家庭設備的風險。所有這些問題都可以透過以下方式解決: 虛擬區域網 (VLAN),正如其名。

使用 VLAN 保護智慧家庭和家庭隱私:綜合指南

智慧家居設備種類繁多,從燈具、插座到揚聲器、警報感應器,應有盡有。如果它們具備無線功能,就很有可能成為您智慧家庭系統的一部分。這些設備對於改善您的生活大有裨益,但也存在一些風險。首先,存在韌體漏洞;其次,存在資料收集;甚至存在殭屍網路和其他惡意攻擊,這些攻擊可能會利用您的智慧家庭系統造成破壞。這就是為什麼我迅速切換到VLAN,您也應該這樣做。

建設智慧家庭的風險

加上設備和安全漏洞風險

我並不是說所有新購買的智慧家庭設備本質上都不安全,但它們確實容易受到攻擊,而且根據品牌不同,還可能存在韌體漏洞。這些設備通常價格低廉,這主要得益於其經濟實惠的設計、製造和支援。遙測資料可能會被收集並發送到製造商的伺服器,而且無法保證一定會發布安全性修補程式和韌體更新。

就像家庭網路上的電腦一樣,這些智慧家庭設備中的每一個都可能成為攻擊者的新切入點。

就像家庭網路中的電腦一樣,這些智慧家庭設備中的每一個都可能成為攻擊者的新入口點。想像一下,你有多少設備內建了完整的警報系統。 Home Assistant 有了智慧音箱、照明、感應器、插座等等,物聯網和智慧家居設備可能會變成一個迷宮。如果太多設備需要本地 IP 位址,它們就會爭搶無線網路和 DHCP 伺服器。

我在規劃智慧家庭升級時就考慮到了這一點。就像訪客設備一樣,它們可以在同一本地網路中進行分區,以保護網路上的其他設備。我快速設定了 訪客 VLAN 為了讓任何訪客都能存取外部世界,未經允許,他們無法連接任何本地託管的服務。智慧家庭設備也是一樣,所以我為它們創建了一個私有 VLAN,也許它們也應該效仿。

VLAN 如何解決(幾乎)所有問題

虛擬區域網路 (VLAN) 是在實體網路上運作的區域網路。它只是一種將由交換器、存取點、防火牆和路由器組成的實體網路劃分為多個隔離實例的邏輯方法。每個 VLAN 都可以配置為獨立運行,從而允許您將 LAN 上的特定設備和點彼此隔離。但這並不意味著它們完全不可用;如果配置了 VLAN,則可以在 VLAN 之間進行橋接。

VLAN 的優點在於允許裝置直接透過路由器或防火牆連接到外部目標,而無需連接到內部的任何裝置。它非常適合在企業、酒店甚至家中創建訪客網路。此外,VLAN 還可用於將智慧家庭和物聯網設備與其他網路隔離。我已經在家裡使用了幾個 VLAN,一個用於訪客, 另一個是監視器,第三個針對所有伺服器和網路基礎設施。

第四個 VLAN 可能被認為有些過度,但如果您想維護本地網路的安全,則值得考慮。您可以將物聯網設備放置在訪客網路上,並設定特定的規則和條件,以允許其他 VLAN 上的設備之間進行一定程度的通信,但目標是在不影響功能的情況下盡可能限制物聯網設備。這樣,我們可以安全地添加和使用任何設備,並減少對過時的支援、受感染的韌體更新以及信任多家公司來保護其產品(以及您的本地網路)的擔憂。

一切都始於一個周密的計劃。

繪製整個網絡

在繼續使用 VLAN 或新增另一個 VLAN(就像我之前為我的網路所做的那樣)之前,必須先對應你的家庭區域網路 (LAN)。寫下所有將連接到你的存取點、交換器和路由器的裝置。記錄它們的位址,這樣你就可以輕鬆查看每個 VLAN 覆蓋哪些裝置。有一些要求,其中最重要的一個是使用託管交換器。你不必 需要 到網路交換機,但如果您已經在本機網路上使用它,它將無法與 VLAN 一起使用,除非它允許標記和分離。 非管理型交換機 不幸的是,不要這麼做。

接下來,您需要一個路由器或防火牆來處理 VLAN。我使用並強烈推薦 OPNsense。所有存取點和交換器的管理介面也應該可以存取。完成所有這些後,只需幾分鐘即可完成 VLAN 的配置。首先,我需要在 OPNsense 防火牆上建立一個新的 VLAN,並擁有自己的子網路(192.168.20.0/24,而不是主 LAN 使用的 192.168.10.0/24)。然後,也是最重要的,我必須建立防火牆規則。

在繼續使用 VLAN 或新增另一個 VLAN 之前(就像我在我的網路中所做的那樣),有必要對應您的家庭區域網路 (LAN)。

這些規則允許物聯網設備和訪客用戶端存取互聯網,但不允許存取網路上的其他任何地方。它們還允許我配置VLAN,以允許某些設備(例如運行Home Assistant的伺服器)與其他VLAN上的某些設備(例如安全攝影機或智慧型插座)通訊。這次我差點忘記了為智慧家庭產品配置Wi-Fi SSD網路的步驟。使用EnGenius雲端系統可以輕鬆完成此操作,但特定操作可能會因您擁有的存取點或路由器的品牌而異。

千萬別忘了隔離測試。沒有什麼比配置好所有 VLAN 後,卻發現它們無法正常運作,所有 VLAN 都能自由通訊更糟糕的了。使用電腦或其他裝置向其他已知正常運作且目前處於活動狀態的 VLAN 上的特定位址發送 ping 命令。如果一切正常,只需套用相應的規則即可完成隔離測試。完成此操作後,您可以再次享受真正隔離的 LAN 和安心無憂的體驗。

所有 VLAN

虛擬網路並非大公司或技術愛好者的專利。任何具備相關知識和硬體的人都可以建立虛擬網路。設定並運行 VLAN 需要一些研究和時間。一開始可能看起來令人生畏,而且過程中可能會出現一些問題,但最終的回報是值得的。在我的設置中,我可以為來訪的客人提供 Wi-Fi 接入,隔離 IP 攝影機的廣播,防止物聯網設備在非預期位置進行通信,並對網路上發生的事件進行更全面的控制。

梅爾萬·雷德哈 2632職位 0評論
你可能還喜歡 更多來自作者

評論被關閉。